Mitternachtshacking

Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t :(. For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke

Schade. Jetzt bleiben nicht mehr viele. Mir fällt so spontan nur noch ein:

• Packetstormsecurity
• SecurityForest
• USSR

Weitere Exploit-Archive nehme ich (bitte verlinkt) gerne in den Kommentaren entgegen.

(via Heise)

Nachtrag:

Heute, 11.07. funktioniert Milw0rm wieder und es gibt Updates vom 10.07. Ich hoffe ja, es finden sich genügend Unterstützer für Milw0rm, die Str0ke ein wenig entlasten. Ich würde so ein Exploit-Archiv ja auch hosten, ich brauche nur noch einen geeigneten Server im Ausland

sowas kann ja mal passieren. Ist schließlich ne Fluggesellschaft und kein IT-Unternehmen, die Lufthansa. Und die beauftragte Agentur … bestimmt ein HTML-Programmierer.

Bitte gehen sie weiter, es gibt nichts zu sehen.

(via Golem)

Mir ist aufgefallen, daß es immer mal wieder Exploits z.B. auf Securityfocus oder Milw0rm gibt, die als Metasploit Modul geschrieben sind. Sowohl alte Perl Module, z.B.

• Wordpress <= 1.5.1.3 Remote Code Execution eXploit
• vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit

aber auch viele neue in Ruby, z.B.

• DECT Base Station Scanner
• DECT Call Scanner
• Solaris ypupdated Command Execution
• FlipViewer FViewerLoading ActiveX Control Buffer Overflow

Nur scheint es weder ein zentrales Repository für die diversen Module zu geben, noch werden sie bei Metasploit aufgeführt. Oder sehe ich das falsch?

Kennt jemand ein Verzeichnis der diversen von dritten erstellen Metasploit Module? Wenn nicht, würde ich eines anlegen und pflegen, wenn mich auch ein paar andere mit Links zu Module versorgen würden.

Nachtrag, weil ich das eben erst gesehen habe … der Hacker von phpbb.com hat exakt dokumentiert, wie er die Webseite zerlegt hat. Die Dateien bei Rapidshare sind natürlich inzwischen blockiert.

harhar, sehr schön, dieser Comic:

Ich muß mal meine Freundin fragen, ob ich unser (bisher nicht geplantes) Kind “quote or 1 equals 1 dash dash” nennen darf.

Nachtrag:

Ach Mist, auf die Idee sind schon andere gekommen.

Eigentlich war das ja nur eine Frage der Zeit und ich predige das Thema schon seit drei Jahren auf meinen diversen Vorträgen. Jetzt ist es endlich soweit.

Nessus hat ja schon seit geraumer Zeit in den Vulnerability-Scanner ein paar SCADA-Module eingebaut (die meisten nur zur Erkennung von SCADA-Komponenten) aber Exploits fehlten bisher. Kevin Finisterre von SNOsoft hat für die SCADA-Software von Citect einen Exploit für Metasploit veröffentlicht.

Jetzt wird es endlich spannend :-)  Ach ja, und ich muß meine Präsentationen aktualisieren.

Hihi, entgegen der eigenen Policy hat Microsoft sich geweigert, den Entdecker der MS08-011 Lücke im Advisory namentlich zu erwähnen.

Zum Hintergrund, für IT-Security-Forscher ist es recht interessant, in solchen Advisories erwähnt zu werden, da dadurch die eigene Bekanntheit und so der Marktwert steigt. Allerdings beschränkt Microsoft die Nennung auf Forscher, die sich dem “Responsible Disclosure” Programm von Microsoft angeschlossen haben. Daran halten sich jedoch nicht alle Unternehmen, da Microsoft sich dann gerne mal mehrere Monate Zeit läßt, eine kritische Lücke zu schließen.

Jedenfalls hat sich der Entdecker von MS08-011 an alle Prozeduren gehalten und via iDefense die Lücke an Microsoft berichtet (via iDefense weil dann kriegt man noch etwas Geld dafür). Und die Antwort:

“Unfortunately, Microsoft has refused to credit you using the name you requested.”

Tja, wenn man sich auch chujwamwdupe nennt

Ich sag ja … responsible disclosure lohnt sich nicht. Einfach den Exploit veröffentlichen und gut ist. HD Moore ist so auch bekannt geworden.

Von der Ersten Allgemeinen Verunsicherung gibt es das schöne Lied “Banküberfall” (köstlich: die englische Fassung mit Ba-Ba-Bankrobbery) mit der ach so treffenden Zeile:

Das Böse ist immer und überall!

Inzwischen trifft es vermehrt seriöse Webseiten, die von irgendeiner dritten Seite Inhalte, beispielsweise Werbebanner einblenden. Eigentlich ist das Thema nicht neu, die erste große Runde machte das Problem 2004 durch die Firma Falk eSolutions. Inzwischen werden gezielt bösartige Werbebanner eingeblendet. Entweder, um nur Nagware auf die Rechner der Nutzer zu bringen wie Heise berichtet oder, was eher wahrscheinlich ist, um die aktuellen Sicherheitslücken in diversen Webbrowsern, in Quicktime oder Java auszunutzen und Schadprogramme direkt auf dem Rechner zu installieren. Selbst Microsoft Expedia war davon betroffen.

Interessant ist die Reaktion der diversen Computerzeitungen. Mit konkreten Hilfestellungen hält sich beispielsweise Heise sehr sehr vornehm zurück. Die britische The Register empfiehlt den Lesern immerhin, Firefox zusammen mit NoScript einzusetzen. Der Grund ist klar. Idealen Schutz bringt erst die Kombination aus Firefox, NoScript und Adblock/Adblock Plus, am besten noch kombiniert mit einer restriktiven Hosts-Datei. Werbebanner die gar nicht erst geladen werden, können nämlich keinen Schaden anrichten und außerdem lädt die Seite deutlich schneller, wenn nicht von diversen anderen Servern irgendwas dazugeladen werden muß. Das Problem dabei, solche Hinweise würden das werbefinanzierte Geschäftsmodell vieler Webseiten zerstören.

Ich persönlich halte solche Drive-by-Schadprogramme für viel gefährlicher als Sicherheitslücken im Internet Explorer oder Klickbetrug bei Google-Ads. Wenn erstmal dem normale Internetsurfer bewußt wird, welche Gefahr durch Werbebanner auf eigentlich harmlosen und seriösen Seiten entstehen kann, dann ist das Geschäftsmodell “werbefinanzierte Webseite” tot. Und das wäre meines Erachtens schade.

Lösungsansätze?

Nun ja, eigentlich sehe ich nur wenige. Am besten wäre es, zurück zu (relativ) statischer Werbung zu kommen. JPGs und GIFs kann man relativ einfach kontrollieren und richten nur wenig Schaden an. Inzwischen dominieren aber Javascript-aufgemotzte Layer-Ads und Flash-Movies den Werbemarkt und diese Entwicklung läßt sich kaum zurückdrehen. Den Anbietern von werbefinanzierten Seiten bleibt nur, sich den Werbeanbieter genau anzusehen und jede veröffentlichte Werbung bei der Freischaltung und regelmäßig zu kontrollieren. Da jedoch auch das keine 100%ige Garantie gibt rate ich persönlich ja dazu, sich selbst zu schützen. Und das geht anscheinend nur in der Kombination Firefox + NoScript + Adblock/Adblock Plus.

Manchmal hab ich echt den Eindruck ich steh im Wald … heute war wieder so ein Tag.

Ein Kollege und ich hatten ein Gespräch mit einem potentiellen Kunden über Penetrationstests. Wir haben so unsere Leistungen vorgestellt und das Gespräch drehte sich dann über potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und Mails, die User auf Drive-by-Schadprogramme lotsen.

Irgendwann kam dann das Gespräch auf Virenscanner und irgendwer hatte dem Penetrationstest-Interessenten erzählt, Virenscanner seien das absolut übelste was es gibt und man könne mit einer einzigen Mail jeden beliebigen Virenscanner so übernehmen, daß dann ein Programm installiert wird, das dann automatisch eine Verbindung nach außen aufbaut und sensible Programme hinausschleust.

Ich habe mich irgendwie an den Vortrag von Sergio Alvarez auf dem Chaos Camp erinnert, der sich ja mit Sicherheitslücken in Virenscannern beschäftigt hatte aber so krass kam das damals bei ihm nicht rüber. Ich sehe das auch ein klein wenig anders:

1. Virenscannerhersteller sind gewohnt, schnelle Updates zu verteilen. Wenn so eine Lücke auftritt, wird die normalerweise in relativ kurzer Zeit per Scannerengine-Update automatisch aktualisiert. Das “Window of Vulnerability” dürfte daher meistens relativ klein sein.
2. Mit einer einzelnen Mail läßt sich bestimmt nicht jeder Virenscanner übernehmen.  Ich halte es vielleicht gerade noch für denkbar, daß für (fast) jeden Virenscanner ein Attachment konstruiert werden kann mit dem dieser Virenscanner übernommen werden kann.
3. Die meisten Unternehmen haben mehrere Virenscanner verschiedener Hersteller im Einsatz, am Gateway und auf den Clients, das erschwert zumindest solche Angriffe.
4. Defense-in-Depth bedeutet auch, daß nicht jeder Client beliebig Verbindungen ins Internet aufbauen kann, das sollte also dadurch schon verhindert werden.

Insgesamt stellte sich für mich die Frage: Welchen Sinn hat es, auf Virenscannern rumzureiten, wenn die Ausgangsposition des potentiellen Kunden war, mit Hilfe eines Penetrationstests die Sicherheit der von den Administratoren verwalteten Systeme von Extern überprüfen zu lassen. Ich habe für die verwendete Firewall vielleicht sogar noch einen Zero-Day in der Hinterhand aber das beweist nicht, daß die Administratoren schlechte Arbeit leisten oder das Produkt an sich schlecht wäre. Das beweist lediglich, daß man mit Glück und zum richtigen Zeitpunkt (genau, schon wieder das Window of Vulnerability) eigentlich immer einen Weg irgendwo rein findet.

Ich hab dann mal beim Arbeitgeber von Sergio auf die Webseite gekuckt. Siehe da, die haben ein Produkt mit dem Namen “Parsing Safe” entwickelt, mit dem sich Virenscanner anscheinend in eine gekapselte Umgebung einbetten lassen, die Exploits verhindern soll. Erinnert mich einerseits an die Sandbox-Technik z.B. vin Finjan, auf der anderen Seite an PivX, die irgendwann mal einen Sicherheitslösung für den Internet Explorer entwickelt hatten.

Und klar, wenn man einen Penetrationstest als Verkaufsveranstaltung für die eigenen Sicherheitsprodukte betrachtet, dann macht dieses Vorgehen plötzlich Sinn.

Nur ein Link: http://exploitsearch.com/ … ausprobieren.